CVE-2025-13308

Nome do Software Vulnerável e Versões Afetadas Versões do plugin WordPress Application Passwords até e incluindo a 0.1.3

Descrição O plugin Application Passwords para WordPress é suscetível a Cross-Site Scripting Refletido devido à sanitização inadequada de entrada e escape de saída de URLs fornecidas pelo usuário. Especificamente, o parâmetro reject url é vulnerável. Isso permite que invasores incorporem esquemas de URI javascript: dentro do parâmetro reject url. A exploração bem-sucedida requer enganar um usuário para clicar em um link malicioso, que então executa scripts web arbitrários quando o usuário clica no botão "No, I do not approve of this connection". O endpoint da API envolvido não é mencionado explicitamente. O parâmetro vulnerável é reject url.

Recomendações Atualize o plugin WordPress Application Passwords para uma versão posterior à 0.1.3.